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Abstract of EP0248712 

A 16-key keypad is arranged in matrix fashion in 
four rows (a, b, c, d) and four columns (1, 2, 3, 4). 

Interrogation pulses are applied cyclically in 
sequence to the four rows (a, b, c, d). In a state 
in which the keypad is being explored, the 
microprocessor also applies the interrogation 
pulse to all the columns except one. In the event 
of the non-transference of the interrogation pulse 
to the column concerned, it immediately applies 
to the column a dummy pulse which is terminated 
with the interrogation pulse. Every now and then, 
in a state of pure simulation, the microprocessor 
also applies the interrogation pulse to one of the 
rows and all the columns of the keypad. The 
signals obtained in this way on the rows and 
columns are then indistinguishable from those 
corresponding to an actual pressing of a key. 
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@ Unite de clavier de securite, en particulier pour la composition d'un code confldentiel. 
(g) Un clavier a 16 touches est analyse de maniere matricielle, 

suivant quatre lignes (a. b, c, d) et quatre colonnes (1, 2, 3, 4). B u , 

Des impulsions d'interrogation sont appliquees sequentielle- b — v u 

men! et cycliquement aux quatre lignes (a. b, c, d). Dans un etat f JJ u — 

d'exploration du clavier, un microprocesseur applique aussi g ^ ^ 

('impulsion d'interrogation a toutes les colonnes sauf une. En 
cas de non-transfert de I'impulsfon d'interrogation vers la 
colonne concerncc, il applique aussitot a celle-ci une impulsion 
factice qui se termine avec I'impulsion d'interrogation. De 
temps a autre, dans un etat de simulation pure, le microproces- 
seur applique egalement Timpulsion d'interrogation a Tune des 
lignes et a toutes les colonnes du clavier. Les signaux ainsi 
obtenus sur les lignes et colonnes sont alors indiscernables de 
ceux qui correspondent a un veritable actionnement d'une 
touche. 
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Description 


Unite a clavier de security en particulier pour la composition d'un cods confidentiel. 


L'invention concerne les appareils electroniques 
utilisant un clavier, plus particuiierement les appa- 
reils de paiement electronique, que Ton appelle 5 
aussl terminaux de point de vente, ou terminaux 
d'encaissement. 

Ces appareils sont installes chez les com- 
mercants, pour permettre d'automatiser fes transac- 
tions par carte de paiement.Pour ce qui le concerne, 10 
le client peut ratifier la transaction par sa signature, 
ou bien par la composition de son code confidentiel, 
sur un petit appareil separe, denomme boTtier client. 

Des precautions poussees sont prises pour 
conserver la confidentialite de ce code: 75 

- ou bien il est verifie sur place, par des moyens de 
controle appropries incorpores au boTtier du client; 
aucune transmission du code confidentiel lui-meme 
en dehors du boitier client n'est alors requise; 

- ou bien ce code est verifie dans un ordinateur 20 
central, auquel cas il ne sort du boitier client 
qu'apres avoir subi un chiffrement, qui le rend 
pratiquement indecryptable. 

Ces deux fonctions sont maintenant assurees par 
*un circuit integre hybride, protege de resine. qui fait 25 
partie du boiter client. Bien entendu, les moyens de 
controle ou de chiffrement utilises par ce circuit sont 
tenus secrets. 

Ainsi, un degre de securite elevee est atteint. 

Cependant, la Demanderesse a observe que des 30 
personnes malveillantes pourraient tenter d'inter- 
cepter un code confidentiel au moment ou il passe 
du clavier au circuit integre protege. 

Plus generalement, le meme risque existe chaque 
fois qu'une unite electronique comprend un clavier, 35 
retie a des moyens propres a I'analyse matricielie du 
clavier par ligne et colonne. En.effet, la connaissance 
de la forme d'onde des signaux d "analyse du clavier 
permet de remonter immediatement a toute informa- 
tion confidentielle frappee sur le clavier. II suffit pour 40 
cela de quelques branchements realises sur les 
lignes et colonnes de la matrice du clavier, les 
informations elles-memes pouvant etre transmises 
par exemple a travers un cable de transmission dont 
est equipee I'unite a clavier, ou encore par tous 45 
autres moyens de transmisson, radioelectriques 
notamment. Par contre, les signaux circulant a 
I'interieur du circuit d'analyse du clavier sont 
relativement complexes. Ceci rend difficile leur 
utilisation pour retrouver I'information confidentielle 50 
frappee au clavier. De ce fait, on appellera ci-apres 
generiquement "module protege" le circuit d'ana- 
lyse du clavier, qu'il soit ou non enrobe d'une resine 
interdisant tout acces physique a ces bomes ou 
connexions d'entree-sortie. 55 

La presente invention a essentiellement pour but 
d'ameliorer la securite d'une unite a clavier telle que 
definie ci-dessus. 

L'invention s "applique ainsi a une unite a clavier de 
securite, en particulier pour la composition d'un eo 
code confidentiel, du type dans lequel un boitier. 
muni d'un clavier propre a I'analyse matricielie par 
ligne et colonne. enferme un module protege, 


comportant par exemple un microprocesseur et des 
moyens de memoire, et capable d'appliquer des 
impulsions d'interrogation a chacune des lignes du 
clavier, tout en scrutant les colonnes du clavier, une 
louche enfoncee produiiant un contact Hgne-co- 
lonne specifique. 

Selon une definition tres generate de Pinvention, le 
module protege est muni de liaisons bidirection- 
nelles vers certaines au moins des colonnes et 
lignes du clavier, et il comporte des moyens pour 
simuler de faux actionnements de touches, cer- 
taines au moins des impulsions d'interrogation 6tant 
appliquees en meme temps a au moins une ligne et 
au moins une colonne, ce qui entrave la possibility 
d'interception du code confidentiel par espionnage 
de I'etat des lignes et colonnes du clavier. 

En effet, par exemple, un tel faux actionnement de 
touche est indiscernable d'un vrai actionnement de 
touche, ou ('impulsion d'interrogation est appliquee 
seulement a une ligne du clavier, et ou Ton observe 
laquelle des colonnes du clavier se voit transferer 
I'impuision d'interrogation, dufait de I'etablissement 
d'un contact par enfoncement de la touche concer- 
nee. 

Selon un autre aspect de l'invention, la simulation 
de faux actionnements de touches est systematic 
que. 

En ce sens, le module protege applique chacune 
des impulsions d' interrogation a au moins une ligne 
et au moins une colonne, de maniere variable; il 
effectue la veritable exploration du clavier, touche 
par touche, en scrutant a chaque fois une ligne ou 
colonne dite "effectivement analysee", qui ne recoit 
pas I'impuision d 'interrogation (en provenance di- 
recte du module protege). 

Selon un autre aspect de ['invention, le module 
protege n'effectue aucune vraie interrogation d'une 
touche choisje, pendant un temps predetermine 
correspondant au temps normal d'actionnement 
d'une touche, et il engendre pendant le meme temps 
une fause reponse attribuable a cette touche 
choisie. Avantageusement, cette touche choisie est 
definie de maniere sensiblement aleatoire. 

Ceci constitue un second niveau de simulation de 
faux actionnements de touches, qui rend encore 
plus difficile I'interception du code confidentiel par 
espionnage de Tetat de lignes et colonnes du 
clavier. 

Selon un autre aspect avantageux de invention, 
lorsqu'il se trouveen presence d'un non-transfert du 
debut de ('impulsion d'interrogation sur la colonne 
ou ligne anaJysee (tel que definie plus haut), 
non-transfert qui signifie un non actionnement d'une 
ou plusieurs touches explorees, le module protege 
repond a cette condition en appliquant a la colonne 
ou ligne analysee une impulsion factice qui se 
termine avec I'impuision d'interrogation, son debut 
etant par contre legerement retards par rapport au 
debut de I'impuision d'interrogation, compte tenu du 
temps de decision necessaire au module protege. 

Les caracteristiques de Tinvention, telles que 
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detinies ci-dessus. peuvent s'appliquer de diffe- 
rentes manieres; On en considerera maintenant 
deux modes de realisation. 

Dans le premier, le module protege est muni de 
liaisons bidirectionnelles vers toutes les colonnes 
du clavier. Ce module protege possede un etat de 
simulation pure, ou il applique Timpulsion d'interro- 
gation a une ligne et a toutes les colonnes du clavier 
(peuvent ainsi etre simu'.aes les differentes touches 
correspondant a cette ligne et aux differentes 
colonnes); pour la vraie exploration du clavier, le 
module protege applique I'impulsion d'interrogation 
a une ligne et a toutes les colonnes sauf celle a 
analyser, la touche effectivement exploree etant 
definie par la ligne interrogee et la .colonne analysee. 
Bien entendu, en cas de non reponse. on appllquera 
I'impulsion factice comme defini plus haut. 

De meme, pendant une temps correspondant au 
temps normal d'actionnement d'une touche, le 
module protege s'abstient de toute interrogation 
d'une touche choisie, en meme temps qu'il produit 
un etat de simulation pure applicable a cette touche, 
ce qui fixe le rang de la ligne correspondante. 

En pratique, les touches du clavier qui sont ainsi 
effectivement explorees ne sont pas traitees dans 
I'ordre. II peut etre interessant de definir les touches 
effectivement explorees de maniere sensiblement 
aleatoire. Le mot "sensiblement" se refere ici d'une 
part au fait qu'un tirage au sort parfaitement 
aleatoire est difficile a obtenir en informatique, 
d'autre part au fait qu'il y a lieu d'exclure la touche 
simulee, et, de preference, des touches interrogees 
tres recemment. 

Un autre temperament au caractere aleatoire de 
I'exploration du clavier peut etre apporte, dans un 
mode de realisation particulier, par le fait que le 
module protege applique I'impulsion d'interrogation 
cycliquement aux differentes lignes; dans ces 
conditions, seule la colonne qui ne report pas 
("impulsion d'interrogation est determinee de ma- 
niere sensiblement aleatoire. 

On s'interessera maintenant au second mode de 
realisation de ('invention. Fonctionnellement, il dif- 
fere du premier par le fait que ['analyse d'une touche 
va maintenant se produi re sequentiellement. en 
determinant d'abord la ligne, puis la colonne a 
laquelle appartient la touche, ou Inversement. 

Dans ce cas, le module protege est muni de 
liaisons bidirectionnelles aussi bien pour les lignes 
que pour les colonnes du clavier; dans son 6tat de 
simulation pure, ce module protege applique simul- 
tanement I'impulsion d'interrogation a toutes les 
lignes et toutes les colonnes du clavier (la touche 
simulee est alors definie simplement par le fait que 
Ton s'abstfendra de toute vraie interrogation a son 
egard pendant le temps predetermine) ; pour la vraie 
exploration, le module protege applique I'impulsion 
d'interrogation d'une part a toutes les lignes et 
colonnes sauf une ligne analysee, d'autre part a 
toutes les lignes et colonnes sauf une colonne 
analysee, la touche effectivement exploree etant 
definie par la ligne et la colonne analysees. 

Des amenagements peuvent etre apportes au 
second mode de realisation defini, en ce sens qu'on 
peut d'abord analyser la colonne, puis la ligne. Si Ton 


s'est fixe une touche a analyser, et que la liaison de 
ligne de cette touche ne repond pas, on peut bien 
sur s'abstenir d'analyser la colonne. D'autres va- 
riantes viendront a I'esprtt de Thomme de Tart, 

5 compte tenu des caracteristiques aleatoires de 
I'analyse, que Ton considerera ci-apres. 

En effet, de facon generate, il est avantageux que 
la touche effectivement exploree soit definie de 
maniere sensiblement aleatoire (avec les memes 

10 reserves que precedemment quant a la touche 
simulee, et a I'evitement d'une nouvelle exploration 
de touches recemment explorees). 

Par ailleurs, les lignes et colonnes peuvent etre 
analysees en alternance, ou bien de maniere plus 

15 desordonnee, en assurant naturellement que Ton 
puisse analyser ['ensemble des touches du clavier 
dans un intervalle de temps raisonnablement court. 

La presente invention peut egalement s'exprimer 
sous la forme d'un procede pour entraver Pintercep- 

20 tion d'une information frappee sur un clavier, a 
destination d'un module de traitement de donnees. 
Selon ce procede, on simule de faux actionnements 
de touches en appliquant simultanement le meme 
signal d'interrogation a au moins une ligne et au 

25 moins une colonne de la matrice d'analyse du 
clavier, tandis qu'une vraie exploration du clavier est 
effectuee, touche par touche, en utilisant a chaque 
fois une ligne ou .colonne recevant le signal 
d'interrogation et, respectivement, une colonne ou 

30 ligne effectivement analysee, qui ne recoit pas 
I'impulsion d'interrogation. L'actionnement de la 
touche exploree produit le transfert du signal 
d'interrogation sur la colonne ou ligne analysee, 
dont I'etat est indiscernable de ceux correspondant 

35 aux faux actionnements de touches. 

D'autres caracteristiques et avantages de r inven- 
tion apparaltront a la lecture de la description 
detaillee ci-apres, et des dessins annexes, sur 
lesquels: 

40 - la figure 1 est une vue en perspective 

montrant un terminal de transaction relie par un 
cable a une unite de composition de code 
confidentiel ou "boitier client"; 

- la figure 2 est le schema electrique de 
45 principe des circuits contenus a I'interieur du 

boitier client; 

- la figure 3 est le schema de principe d'un 
clavier a 16 touches; 

- la figure 4 est un diagramme tempore! 
50 rappelant le fonctionnement classique d'un 

clavier selon la figure 3; 

- la figure 5 est un diagramme temporel 
montrant te fonctionnement du dispositif seton 
le premier mode de realisation de I'invention; 

55 - la figure 5A est le schema de principe de 

differentes operations a effectuer au niveau du 
module protege pour obtenir le fonctionnement 
de la figure 5; 

- la figure 6 est un diagramme temporel 
60 montrant le fonctionnement du dispositif selon 

I'invention, dans le second mode de realisation; 
et 

- la figure 6A est le schema de principe des 
operations du module protege pour obtenir le 

65 fonctionnement illustre sur la figure 6. 
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Les dessins annexes comportent de nombreux 
elements de caractere certain. En consequence, ils 
sont incorpores a la description non seulement pour 
permettre de mieux comprendre celle-ci, mais aussi 
pour servir a la definition de Pinvention, le cas 5 
echeant. 

Par ailleurs, dans la description detaillee ci-apres, 
on considerera seulement le cas d'un terminal de 
transaction bancaire, etant observe que ('application 
de Pinvention peut etre plus generate, w 

Sur la figure 1, la reference TCO designe un 
terminal de transaction, qui peut etre un terminal de 
paiement eiectronique (serie E200 vendue par la 
Demanderesse), ou bien un terminal d'encaisse- 
ment multi-commerces (serie E300 vendue egale- 15 
ment par la Demanderesse). 

Ce terminal est relie par un cable de connexion 
CC a un boitier client BCL, dont le boitier propre- 
ment dit 6 est surmonte d'un abri 30, propre a 
dissimuler aux regards indiscrets un clavier 2 et une 20 
visualisation 3. 

Sur le schema electrique de la figure 2, on 
retrouve en 6 les limites exterieures du boitier. Le 
module protege 1, qui est un circuit integre hybride, 
comporte une horloge 10 reliee a un microproces- 25 
seur 12. Le bus d'adresse BA1 de celui-ci traverse 
une logique de commande 14 pour venir en Ba2 vers 
une memoire morte 16 (MEM ou ROM), ainsi qu'une 
memoire vive 18 (MEV ou RAM). 

Le cable de connexion CC est fa seule liaison 30 
electrique qui traverse la paroi 6 du boitier. II 
comprend par exemple une liaison d'ali mentation 
DCC, une liaison de masse GMB, une tension 
d'alimentation sauvegardee ou secourue notee 
VSec. Celle-ci sert a ('alimentation de la memoire 35 
vive 18, qui contient les donnees secretes propres 
soit au controle in situ du code confidentiel, sort au 
chrffrement de celui-ci pour transmission a distance, 
en un poste ou ce code confidentiel pourra etre 
controle. 40 

Le module protege comprend encore un bus de* " - - 
donnees BD, pour ses echanges avec les memoires 
16 et 18, ainsi qu'une liaison de demande de 
programme PGM. vers la memoire morte 16. 

Suivant les besoins, d'autres connexions peuvent 45 
passer par le cable CC. a savoir des signaux EX1, 
EX2, (commandes d 'echanges entre les micropro- 
cesseurs des organes TCO et BCL), les signaux RD 
et ED (gestion du sens de la liaison serie) et le signal 
VPP. 50 

Les liaisons electriques entre le clavier 2 et le 
module protege 1, qui ne passent pas par une 
interface standard, comportent, sous forme matri- 
cielle, des liaisons dites "lignes* et des liaisons dites 
"colonnes". 55 

La figure 3 illustre un mode de realisation 
particulier du clavier a 16 touches illustre en 2 sur la 
figure 1. On y distingue les lignes a a d et les 
colonnes 1 a 4. Bien entendu, le role des lignes et 
colonnes est conventionnel, et peut etre inverse. 60 

La figure 3 montre aussi la correspondance entre 
chaque couple d'informations ligne et colonne et 
chacune des touches du clavier. On peut ainsi definir 
quatre touches de fonction F1 a F4, dix touches 
numeriques 0 a 9, une touche d'effacement C, et une 65 


touche de virgule V. 

La figure 4 illustre Panalyse classique d'un clavier 
de ce type. Des impulsions d'interrogation pertodi- 
ques sont appliquees sequentiellement et de ma- 
nure decalee aux lignes a a d. On examine a chaque 
fois la reponse des colonnes 1 a 4. Dans I'exemple 
represente, e'est la colonne 3 qui repond, en 
synchronisme de ('application de l'impulsion d'inter- 
rogation a la ligne B. C'es: done la touche B3 (chiffre 
5) qui est actionnee. L'explication est la suivante : au 
moment de Penfoncement de la touche 5, un contact 
est etabli entre la ligne B et la colonne 3. L'impulsion 
d'interrogation appliquee a la ligne B est alors 
transferee sur la colonne 3. Ceci permet au module 
protege de savoir quelle est la touche actionnee. Par 
la suite, on marquera systematiquement de ha- 
chures croisees une impulsion d'interrogation ainsi 
transferee entre une ligne et une colonne (ou 
inversement). 

L'homme de I'art comprendra qu'il est tres facile, 
en branchant des fils en parallele sur les lignes et 
colonnes du clavier, et en enregistrant les signaux 
qui s'y trouvent presents, de retrouver le code 
frappe sur le clavier. 

II est bien sur possible de reduire Pacces physique 
aux liaisons entre le module protege et le clavier. 
Neanmoins, aussi courtes et peu accessibles 
qu'elles soient, ces liaisons peuvent toujours faire 
Pobjet de branchements visants a Pespionnage du 
clavier. 

Une fois que le branchement a ete fait, les 
informations recueillies peuvent etre transmises a 
distance soit a t ravers le cable de transmission CC, 
soit par tout autre moyen, notamment des moyens 
de transmission radioelectrique. 

La presente invention a pour but de rendre 
extremement difficile I'utilisation de signaux recueil- 
lis sur les lignes et colonnes du clavier aux fins de 
retrouver ie code confidentiel, a moins de disposer 
d'un equipement extremement corhplexe et evolue. 

On decrira maintenant le premier mode de 
realisation de Pinvention en reference aux figures 5 
et 5A. 

Sur la figure 5, il apparait que les lignes a a d du 
clavier sont interrogees sequentiellement, de la 
meme maniere que sur la figure 4. Cette interroga- 
tion peut se faire de maniere directe, a partir du 
mlcroprocesseur 12, ou bien a travers un decodeur. 

De leur cote, les liaisons qui vont du microproces- 
seur 12 aux colonnes du clavier sont des liaisons 
bidirectionnelles, qui permettent done non seule- 
ment de detecter si ('impulsion d'interrogation 
"ligne" est transferee, par actionnement d'une 
touche, vers Pune des colonnes du clavier, mais 
aussi d'appliquer directement depuis le micropro- 
cesseur 12 l'impulsion d'interrogation a certaines au 
moins des colonnes du clavier. 

La vraie exploration du clavier se produit de la 
maniere suivante : 

Pendant la premiere impulsion sur la ligne a, les 
colonnes 1, 3 et 4 recoivent aussi l'impulsion 
d'interrogation. 

Par contre, la colonne 2 ne la recoit pas. Le 
microprocesseur 12 en deduit que la touche explo- 
ree (a2) n'est pas actionnee. II applique alors 
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aussitot sur cette colonne 2 une impulsion factice 
(marquee par des hachures simples), qui va done 
commencer un peu apres les impulsions d'interro- 
gation normales, et se terminer avec celles-ci. 
L'interet d'une telle impulsion factice est qu'apres 
une transmission a distance des signaux, il devien- 
dra tres difficile de la distinguer des impulsions 
d'interrogation elles-memes. 

Pour les impulsions d'interrogation suivantes, les 
choses se passent de la meme maniere, mais on 
change a chaque fois la touche exploree, ce qui 
permet de determiner I'etat du clavier pour les 
touches b3. d , d1 , a3, b4 et c4. successivemeht. 

Bien entendu, la cadence d'exploration par les 
impulsions d'interrogation est choisie suffisarriment 
elevee pour qu'il n'y ait aucun risque de manquer 
Tactionnement d'une touche par I'operateur, qui 
prend typiquement un temps de 0,1 a 0,5 seconde, 
suivant Tentratnement de I'operateur. 

Apres le controle de la touche c4. le microproces- 
seur 12 procede a une pure simulation, consistent a 
appliquer 1'impulsion d'interrogation simultanement 
a la ligne d et a chacune des colonnes 1 a 4. Ceci 
peut latsser croire a un fraudeur que I'une des 
touches d1 a d4 a ete actionnee. Une telle simulation 
est repetee pendant un temps egal ou legerement 
inferieur au temps normal d'actionnement d'une 
touche (par exemple 0.1 a 0.5 seconde). Ce temps 
peut etre predetermine, ou bien ajuste par le 
microprocesseur en fonction de donnees telles que 
la rapidite de frappe de I'operateur en face duquel il 
se trouve. 

Pendant le meme temps, le microprocesseur 12 
s'absttent de toute interrogation d'une touche 
choisie, par exemple la touche d2, de telle sorte que 
le fraudeur soit amene a croire que la touche d2 est 
effectivement actionnee. La figure 5 presente apres 
cela une coupure, qui correspond precisement au 
temps predetermine ainsi defini. Ensuite, on pro- 
cede par exemple a I'analyse de la touche b2, qui ne 
repond pas (d'ou une impulsion factice) a une 
simulation sur Tune des touches cx (x designant ici 
Tune des colonnes 1 a 4), puis a I'analyse d'autres 
touches d2. a1. b3. c2, d1. 

Apres cela, on a illustre un vrai actionnement de la 
touche a4. Le microproceseur 12 a applique I'impul- 
sion d'interrogation a la ligne a, et aux colonnes 1 a 
3. Mais I'impulsion d'interrogation apparatt aussi sur 
la colonne 4, du fait de I'enfoncemcnt de la touche 
a4. Si necessaire, on reiterera peu apres le controle 
de la touche a4. 

En tout cas. le processus se poursuit avec 
I'analyse des touches b2, c4 ; puis ensuite d3, un 
nouveau controle sur la touche a4 qui est vraiment 
actionnee, puis b3, et ainsi de suite. 

Ainsi se trouve realisee une simulation de faux 
actionncments de touches, a deux niveaux : 

- lors d'un faux actionnement de touches, ou toutes 
les colonnes recoivent I'impulsion d'interrogation 
(cas dx), on obtient sur les lignes et colonnes du 
clavier des etats indiscernables d'un vrai actionne- 
ment de touche (cas a4), 

- en omettant d'explorer une touche choisie, par 
exemple tiree au sort (en evitant naturellement une 
touche effectivement en cours d'actionnement), on 


fait croire a un fraudeur que e'est la touche choisie 
qui est actionnee, ce qui n'est pas le cas. 

De plus, pour acceder a cette information, le 
fraudeur devra d'abord etre en mesure de determi- 

5 ner toutes les impulsions factices, ce qui est tres 
delicat, car il y a lieu alors de detecter sans erreur 
des decalages de signaux de quelques microse- 
condes, et ce a I'extremite d'un cable de 2 a 3 
metres minimum. 

10 En admettant meme qu'il arrive ainsi a reperer 
('ensemble des faux codes correspondant a des 
touches simulees et des vrais codes correspondant 
a des touches effectivement enfoncees, le fraudeur 
devra de plus limiter Tenregistrement de ces 

15 donnees a la periode reelle de frappe du code 
confidentiel, et essayer ensuite les differents codes 
possibles, compte tenu du melange de vraies 
frappes de touches et de frappes de touches 
simulees. 

20 II est alors relativement aise d'engendrer suffi- 

samment de touches simulees pour que le nombre 

de codes possibles que doit essayer le fraudeur 

depasse le nombre d'erreurs que tolereront les 

cartes bancaires. 
25 II est avantageux de rendre aleatoire (autant que 

possible) I'ensemble des processus suivis par le 

microprocesseur. 
Dans ce mode de realisation, la sequence d'appti- 

cation des impulsions d'interrogation aux lignes du 
30 clavier demeure fixe et periodique comme selon la 

technique anterieure. On peut bien entendu proce- 

der differemrnent. 

Par contre, peuvent etre rendus sensiblement 

aleatoires : 

35 - le choix, a chaque fois. de la colonne a laquelle on 
ne va pas appliquer ('impulsion d'interrogation. On 
exclura bien entendu du tirage au sort la touche 
'simulee\ II peut aussi etre souhaitable d'eviter 
d'interroger a nouveau une touche deja exploree 

40 recemment. 

- La production de la simulation, e'est-a-dire les 
instants d'application simultanee de Timpulsion 
d'interrogation a Tune des lignes et a toutes les 
colonnes. 

45 La figure 5A illustre, a titre d'exemple, un 
enchatnement d 'operations realisables par le micro-, 
processeur 12 pour la mise en oeuvre du premier 
mode de realisation de ('invention. 

L'etape 50 consiste a decider quelle est la touche 
50 que Ton va simuler, ici la touche d2. 

L'etape 51 consiste a envoyer I'impulsion d'inter- 
rogation a I'une des lignes a, b, c, d, par exemple de 
la maniere cyclique decrite. 

L'etape 52 determine alors si Ton est en train 
55 d'interroger la ligne d (qui correspond a la touche a 
simuler), et si le moment est venu d'effectuer une 
simulation. Ce moment peut etre determine par un 
tirage au sort et I'usage d'un compteur de temps. 
Si oui, l'etape 53 consiste a envoyer I'impulsion 
60 d'interrogation (presente sur la ligne d) sur toutes 
les colonnes 1, 2, 3, 4. 

Slnon, l'etape 54 consiste a choisir une touche a 
explorer sur la ligne en cours, en excluant la touche 
simulee, et le cas echeant les touches recemment 
as explorees. 
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L'etape 55 determine alors que Fori envote aussi 
('impulsion d'interrogation a toutes les colonnes, 
sauf celles de la touche a explorer (en pratique, c'est 
l'etape 55 qui determiners renvoi de I'impulsion 
d'interrogation en meme temps a la ligne concern6e 
et a toutes les colonnes sauf une). 

L'etape 56 consiste a determiner si le debut de 
impulsion d'interrogation est present sur la colonne 
de la touche a explorer. La reponse oui signifie que 
I'impulsion d'interrogation a ete transmise de la ligne 
a la colonne, et par consequent que la touche 
exploree est effectivement enfoncee. L'etape 57 
valide alors ('actionnement de la touche exploree. 

Dans le cas contraire, l'etape 58 consiste a 
appliquer une impulsion factice sur la colonne de la 
touche exploree. 

Les sorties des etapes 53, 57 et 58 se retrouvent 
a I'entree d'un test 59 qui determine si fa temporisa- 
tion de la simulation est ecoulee. Si cette condition 
n'est pas verifiee. on retourne a l'etape 51. Dans le 
cas contraire, on retourne a l'etape 50. pour decider 
d'une nouvelle touche a simuler. 

Les fonctions de la figure 5A sont aisement 
realisables a Taide d'un microprocesseur propre a 
entretenir plusleurs compteurs de temps, a engen- 
drer des quantites aleatoires (ou plus exactement 
pseudo-aleatoires) et munis d'une interface conve- 
nable pour la production d 'impulsions electriques a 
la cadence requise. 

La figure 6 iilustre le second mode de realisation 
de I'invention. 

II differe du precedent tout d'abord par le fait que 
toutes les liaisons entre le microprocesseur 12 et le 
clavier sont bidirectionnelles. On pourra alors appli- 
quer ('impulsion d'interrogation indifferemment aux 
lignes et colonnes, et. de meme, scruter le transfert 
de I'impulsion d'interrogation sur toute ligne ou 
colonne. 

L'interet est que I'on augmente alors considera- 
blement le nombre de combinaisons possibles. 

En centre partie, I'exploration d'une touche va se 
faire en deux temps, d'abord par la ligne, ensuite par 
la colonne a laquelle elle appartient, ou inversement 

11 faut done generer plus de sequences de signaux 
d'interrogation dans le meme temps f afin de ne pas 
perdre d'informations sur I'etat reel du clavier. 

Sur la figure 6, on observe tout d'abord que 
('impulsion d'interrogation est appliquee a toutes les 
lignes a a d ainsi qu'aux colonnes 1, 3 et 4. Rien 
n'apparaissant sur la colonne 2, le microprocesseur 

12 lui applique aussitot une impulsion factice. 
Ensuite, il fait de meme, successivement. avec la 

ligne d, la ligne b, la colonne 4. Dans tons les cas, 
rien ne se produit et une impulsion factice est 
appliquee. 

Aussitdt apres, le microprocesseur produit un 
etat de simulation pure, comme precedemment. La 
difference reside cependant en ce que I'impulsion 
d'interrogation est maintenant appliquee a toutes les 
lignes et colonnes. 

L'instant d'apres, e'est a nouveau la colonne 2 qui 
est exploree. 

On suppose ra que, jusqu'a present, le micropro- 
cesseur avait choisi de simuler un faux actionne- 
ment de la touche b2, en s'abstenant done de toute 


interrogation susceptible de correspondre a cette 
touche. Le fraudeur aura done naturellement ten- 
dance a attribuer i'etat de simulation pure (note x) a 
la touche b2. Comme precedemment, ceci se 

5 produit pendant un temps predetermine, eventuelle- 
ment ajuste par le microprocesseur. 

Apres la premiere coupure de la figure 6, on 
retrouve un etat de simulation pure, note y puis 
I'exploration de la ligne d, de la colonne 2. 

10 Ensuite, on se trouve en presence d'un veritable 
actionnement de la ligne b. 

Apres ('interruption qui suit dans la representation 
des signaux, on retrouve a nouveau un actionne- 
ment de Tune des touches correspondant a la ligne 

15 b. 

Ensuite, ('interrogation de la colonne 3 ne donne 
aucun resultat, d'ou la production d'une impulsion 
factice. 

Apres cela, on obtient un veritable actionnement 

20 pour I'une des touches de la colonne 4, condition qui 
se manifeste a nouveau apres la derniere interrup- 
tion dans la representation des signaux que pre- 
sente la figure 6. 
Sous reserve que les reponses sur la ligne b et la 

25 colonne 4 soient sirffisamment rapprochees dans le 
temps, le microprocesseur en deduit que fa touche 
b4 a ete actionnee par I'utilisateur. 

Par contre, le fraudeur n'est pas en mesure de 
faire la difference entre les conditions dans les- 

30 quelles i'impulsion d'interrogation est presente sur 
toutes les lignes et colonnes par suite de I'actionne- 
ment de cette touche b4, d'une part, et les 
conditions dans lesquelles I'impulsion d'interroga- 
tion est presente sur toutes les lignes et colonnes 

35 du fait d'un etat de simulation pure au niveau du 
microprocesseur. d'autre part. 

De plus, et comme precedemment, la "non-inter- 
rogation" d'une touche simulee tendra a faire croire 
a une fraudeur que cette touche a ete actionnee. 

40 Avec ce second mode de realisation, les diffi- 
cultes que rencontrera le fraudeur pour acceder 
veritablement au code confidentiel sont a priori les 
memes que precedemment. Mais sa tache est 
rendue encore plus complexe du fait de la decompo- 

45 sition en deux etapes de I'exploration des touches. 
On remarquera egalement que le fraudeur ne 
dispose plus d'aucune information sur les etats de 
simulation pure, alors que precedemment il connals- 
sait la ligne dont il s'agissait. 

50 Bien entendu. on pourra comme precedemment 
rendre aleatoire la determination de la ligne ou 
colonne a laquelle I'impulsion d'interrogation n'est 
pas appliquee, en evitant bien sur la touche simulee, 
et eventuellement des interrogations trop rappro- 

55 chees susceptibles de correspondre a une meme 
touche. 

Peuvent egalement etre rendus aleatoires les 
temps auxquels seront produits les etats de simula- 
tion pure, et la determination de la touche simulee, 
60 que Ton va s'abstenir d'explorer pour faire croire 
qu'elle est veritablement actionnee. 

Le second mode de realisation de I'invention peut 
etre mis en oeuvre en faisant executer par le 
microprocesseur 12 la suite d 'operations illustrees 
65 sur la figure 6 A. 
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La premiere operation 60 est une decision sur la 
touche a simuler, ici la touche b2. 

Le test 61 determine si le moment est venu 
d'effectuer la simulation. Si oui, l'etape 62 envoie 
('impulsion d'interrogation a toutes les lignes et 
toutes les colonnes. 

Dans le cas contraire, l'etape 63 consiste a choisir 
une touche a explorer veritablement, en excluant 
naturellement la touche Jmulee, et si on le souhaite 
les touches recemment explorees (sans succes). 

L'etape 64 consiste alors a envoyer Timpulsion 
d T interrogation a toutes les lignes et colonnes sauf la 
ligne (ou coionne) de la touche a explorer. 

L'etape 65 determine si le debut de ('impulsion 
d'interrogation est present sur la ligne (ou coionne) 
en question. Si elle ne Test pas. l'etape 66 applique 
une impulsion factice sur la ligne et/ou coionne en 
question. 

Si au contraire I'impulsion d'interrogation est 
presente, l'etape 67 consiste a memoriser la ligne 
(ou coionne) dont if s'agit. 

Apres l'etape 67, on passe a l'etape 68. La sortie 
de l'etape 66 pourrait etre egalement un passage par 
l'etape 68, ou plus simplement un saut direct a 
l'etape 72. 

L'etape 68 consiste a envoyer I'impulsion d'inter- 
rogation a toutes les lignes et colonnes sauf la 
coionne (ou ligne) de !a touche a explorer. 

Le test 69 consiste a determiner si le debut de 
I'impulsion d'interrogation est present sur la coionne 
(ou ligne) en question. Sinon, l'etape 70 consiste a 
appltquer I'impulsion factice sur la coionne (ou ligne) 
en question. 

Si oui, l'etape 71 consiste a valider Tactionnement 
de la touche definie par la ligne et la coionne en 
question, compte tenu des informations memori- 
sees en 67. 

L'illustration donnee sur la figure 6A, de meme 
que Implication ci-dessus r conserve la symetrie 
entre la ligne et la coionne, etant observe qu'on 
devra toujours disposer d'une information de ligne 
puis d'une information de coionne pour determiner 
I'actionnement d'une touche. Cependant, j'ordre 
dans lequel on obtient les deux informations est 
indifferent. De plus, comme illustre sur la figure 6, il 
n'est pas necessaire que Ton ait systematiquement 
une aiternance entre lignes et colonnes. Cela peut. 
neanmoins etre interessant, pour simpiifier le travail 
du microprocesseur 12. 

Les sorties des etapes 62, 66, 70 et 71 vont vers 
un test 72 qui determine si la temporisatron de 
simulation est ecoulee. 

St elle ne Test pas, on relourne a l'etape 61. Si par 
contre cette temporisation est ecoulee, on remonte 
jusqu'a l'etape 60, pour decider d'une nouvelle 
touche a simuler. 

Comme precedemment, H est esttme que le 
microprocesseur 12 peut aisement realtser les 
fonctions de la figure 6A, avec des compteurs de 
temps des horloges et une interface convenable 
pour la production et ('analyse des impulsions 
d'interrogation. 

On conslderera malnlenant de maniere indiffe- 
rente les deux modes de realisation de I'invention. 

Bien entendu, il est necessaire que la cadence 


des Impulsions d'interrogation soit suffisante pour 
permettre une interrogation complete de toutes les 
touches du clavier, compte tenu de la composante 
aleatoire precitee, dans un temps qui corresponde 

5 au temps normalement pris par un operateur pour 
frapper son code confidentiel. 

II est clair que la presente invention offre une 
solution particulierement interessante, pour preser- 
ver la confidentiality d'informations frappees sur un 

10 clavier, et en particulier un code confidentiel de carte 
bancaire. 

Avec les moyens decrits, il devient en effet 
possible de simpiifier considerablement, sinon sup- 
primer, les autres protections physiques qui ont pu 
75 etre envisagees par ailleurs. 

L'homme de I 'art pourra concevolr differentes 
variantes des modes de realisation decrits. Bten 
entendu, la presente invention s'etend a toutes ces 
variantes, dans la mesure ou el les sont couvertes 
20 par les revendications ci-apres. 


Revendlcations 

25 

1. Unite a clavier de securite, en particulier 
pour la composition d'un code confidentiel. du 
type dans lequel un boTtier, muni d'un clavier 
propre a I'analyse matricielle par lignes et 

30 colonnes, enferme un module protege capable 

d'appliquer des impulsions d'interrogation a 
chacune des lignes du clavier, tout en scrutant 
les colonnes du clavier, une touche enfoncee 
produisant un contact ligne-colonne specif ique, 

35 caracterisee en ce que le module protege est 

muni de liaisons bidirectionnelles vers certaines 
au moins des colonnes et lignes du clavier, et 
en ce qu'il comporte des moyens pour simuler 
de faux actionnements de touche, certaines au 

40 moins des impulsions d'interrogation etant 

appliquees en meme temps a au moins une 
ligne et au moins une coionne, ce qui entrave !a 
possibility d'interception du code confidentiel 
par espionnage de Tetat des lignes et colonnes 

45 du clavier. 

2. Unite selon la revendication 1, caracterisee 
en ce que le module protege applique chacune 
des impulsions d'interrogation a au moins une 
ligne et au moins une coionne, de maniere 

50 variable, et en ce qu'il effectue la veritable 

exploration du clavier, touche par touche, 
scrutant a chaque fois une coionne ou ligne 
effectivement analysee, qui ne recoit par I'im- 
pulsion d'interrogation. 

55 3. Unite selon la revendication 2, caracterisee 

en ce que le module protege n'effectue aucune 
vraie interrogation d'une touche choisie. pen- 
dant un temps predetermine correspondant au 
temps norma! d'actionnement d'une touche, et 

60 en ce qu'il engendre, pendant le meme temps, 

une fausse reponse attribuable a cette touche 
choisie. 

4. Unite selon la revendication 3. caracterisee 
en ce que la touche choisie est definie de 
65 maniere sensiblement aleatoire. 
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5. Unite selon Tune des revendications 2 & 4, 
caracterisee en ce que le module protege 
repond au non-transfert du debut de I'impulsion 
d'interrogation surlacolonne ou ligne analyses, 
signifiant le non -action nement d'une ou plu- 
sieurs touches explorees, en appliquant a cette 
colonne ou ligne une impulsion factice qui se 
termine avec I'impulsion d'interrogation. 

6. Unite selon Tune des revendications 2 a 5, 
caracterisee en ce que le module protege est 
muni de liaisons bidirectionnelles vers toutes 
ies colonnes du clavier, 

en ce que. dans un etat de simulation pure, (e 
module protege applique I'impulsion d'interro- 
gation a une ligne et a toutes Ies colonnes du 
clavier, 

et en ce que, pour la vraie exploration, le 
module protege applique I'impulsion d'interro- 
gation a une ligne et a toutes Ies colonnes sauf 
celle a analyser, la touche effectivement explo- 
re e etant definie par la ligne interrogee et la 
colonne analysee. 

7. Unite selon la revendication 6, caracterisee 
en ce que la touche effectivement exploree est 
definie de maniere sensiblement aleatoire. 

8. Unite selon la revendication 6, caracterisee 
en ce que le module protege applique I'impul- 
sion d'interrogation cycliquement aux diffe- 
rentes lignes, tandis que la colonne qui ne 
recoit par I'impulsion d'interrogation est deter- 
minee de maniere sensiblement aleatoire. 

9. Unite selon Tune des revendications 2 a 5, 
caracterisee en ce que le module protege est 
muni de liaisons bidirectionnelles aussi bien 
pour Ies lignes que pour Ies colonnes du clavier, 
en ce que, dans un etat de simulation pure, il 
applique simuitanement I'impulsion d'interroga- 
tion a toutes Ies lignes et toutes Ies colonnes 
du clavier, et en ce que, pour la vraie explora- 
tion, le module protege applique 1'impulsfon 
d'interrogation d'une part a toutes Ies lignes et 
colonnes sauf une ligne analysee, d'autre part 
a toutes Ies lignes et colonne. sauf une colonne 
analysee, la touche effectivement exploree 
etant definie par la ligne et la colonne analysees. 

10. Unite selon la revendication 9, caracterisee 
en ce que la touche effectivement exploree est 
definie de maniere sensiblement aleatoire. 

11. Unite selon I'une des revendications 9 et 
10, caracterisee en ce que Ies lignes et 
colonnes sont analysees en atternance. 

12. Precede pour entraver I'interception d'une 
information frappee sur un clavier, a destination 
d'un module de traitement de donnees, carac- 
terise en ce qu'on srmule le faux actionnement 
de touche en appliquant simuitanement le 
meme signal d'interrogation a au moins une 
ligne et au moins une colonne de la matrice 
d'analyse du clavier, tandis qu'une vraie explo- 
ration du clavier est effectuee, touche par 
touche. en utilisant a chaque fois une ligne ou 
colonne recevant le signal d'interrogation et, 
respectlvement, une colonne ou ligne effective- 
ment analysee, qui ne recoit pas I'impulsion 
d'interrogation, I'actionnement de la touche 


exploree produisant le transfert du signal 
d'interrogation sur la colonne ou ligne analysee, 
dont Tetat est indiscemable des faux actionne- 
ments de touche. 
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